Um hacker conhecido por “Peace” foi o responsável pela invasão ao site do Linux Mint e ao fórum da distribuição também, ele contou a ZDNET quais foram as suas intenções com o feito e explicou superficialmente como fez para distribuir algumas centenas de ISOs com um backdoor incluso.
Através de alguns tweets o hacker que foi responsável pela invasão ao site do Linux Mint comentou sobre o seu feito, chamado pelo nome de “Peace”, ele não informou mais detalhes sobre si mesmo (algo esperado, naturalmente), mas comentou sobre como explorou a vulnerabilidade no site da distro.
Se você não está por dentro do acontecido, leia a nossa matéria sobre o assunto. A notícia pegou os usuários e fãs do Linux Mint de surpresa e nem poderia ser diferente. Por conta disso o site do Linux Mint está offline para manutenção.
Segundo as informações o hacker responsável revelou que conseguiu controlar algumas centenas de instalações do Linux Mint por conta da modificação das ISOs. Além das imagens de instalação do Mint, “Peace” disse que roubou uma cópia inteira do Fórum do Linux Mint duas vezes, uma no dia 28 de Janeiro e outra no dia 18 de Fevereiro, dois dias antes do pessoal do Mint anunciar o problema.
Juntamente com as informações do fórum, estão identificações pessoais dos usuários, como e-mails, senhas utilizadas no fórum, links para redes sociais que as pessoas tenham associadas ao seus perfis, etc. Peace estava vendendo o fórum do Linux Mint por 0,197 bitcoins, algo em torno de US$ 85,00.
Estima-se que cerca de 71 mil contas foram hackeadas com a ação no site.
Como dissemos anteriormente, Peace não quis revelar mais informações sobre si mesmo, mas informou que trabalha sozinho(a) e que viveu na Europa, não tendo nenhuma filiação com algum grupo hacker.
Através da entrevista feita pelo ZDNET, Peace explicou como conseguiu acesso ao site do Mint, “fui apenas bisbilhotando”, comentou, quando em Janeiro encontrou uma vulnerabilidade que concedia o acesso não autorizado, “eu tinha as credenciais para fazer login no painel de administração do site como Lefebvre (criador do Mint)”, Peace negou-se a dar mais informações sobre o processo que o fez ter este acesso.
No sábado passado Peace decidiu substituir as ISOs do Linux Mint Cinnamon de 64 bits por uma versão modificada no sistema que incluía o backdoor “Tsunami”. Pelo que o hacker comentou ele não tinha nenhum objetivo específico para ação, mas a principal motivação da inserção do backdoor era a de construir uma botnet. O malware “Tsunami” utilizado funciona da seguinte forma; depois de implantado, através do backdoor ele conecta-se silenciosamente a um servidor IRC onde ele aguarda por comandos.
O “Tsunami” é comumente utilizado para criar uma rede de computadores zumbis para derrubar algum site enviando “um tsunami” de acessos ao mesmo (daí o nome). O “Tsunami” é um bot simples que pode ser configurado manualmente e que conversa com um servidor de IRC por um canal definido, com uma senha definida pelo seu criador. Apesar de ser utilizado normalmente para derrubar sites com máquinas escravas ele pode permitir também que o atacante execute comandos que permitiriam o download de outros malwares para serem utilizados de outra forma.
Como foi comentado, o ataque não teve um motivo específico, pelo que Peace comentou foi algo como”eu acessei porque podia”, mas disse que não descartava a hipótese de usar os botnets para “mineração de bitcoins ou outras coisas.”
